CVE-2023-50164: критическая RCE-уязвимость в популярном веб-фреймворке Apache Struts 2

Разработчики Apache выпустили исправления критической уязвимости в популярном открытом веб-фреймворке Apache Struts 2 с идентификатором CVE-2023-50164 , которая может привести к удалённому выполнению кода (RCE). Обнаружение уязвимости приписывается багхантеру Стивену Сили из компании Source Incite.

CVE-2023-50164 позволяет злоумышленникам манипулировать параметрами загрузки файлов, что может привести к обходу пути и загрузке вредоносного файла, используемого для удалённого выполнения кода. Дополнительные подробности об уязвимости пока что не раскрываются.

Проблема затрагивает версии Apache Struts с 2.0.0 по 2.5.32 и с 6.0.0 по 6.3.0.1. В свою очередь, исправление интегрировано, начиная с версий 2.5.33 и 6.3.0.2.

Веб-разработчикам настоятельно рекомендуется выполнить это обновление, к тому же процесс не займёт много времени и не потребует внесения изменений в текущую конфигурацию.

Apache Struts 2 часто используются злоумышленниками для проведения атак. Это современный открытый Java-фреймворк для создания готовых к использованию в корпоративной среде веб-приложений. Его предшественник, Apache Struts 1, более не поддерживается.

В 2017 году нарушение безопасности сайта Equifax в США и последующая масштабная утечка данных были вызваны как раз уязвимостью в Apache Struts 2, а также недостаточно оперативными мерами по её устранению ответственными лицами.